Black Lotus Labsの研究者が、1日あたり約1万4000台のルーター(主に米国のAsusモデル)を感染させるボットネットを特定した。このボットネットは検知を回避するための先進的なP2P技術を使用。KadNapと呼ばれるマルウェアはこれらのデバイスをサイバー犯罪活動のプロキシに変える。感染ユーザーは脅威除去のためルーターを工場出荷時リセットし、ファームウェア更新を適用することを推奨される。
Black Lotus Labsが8月に発見したKadNapボットネットは、2026年3月時点で1日平均1万4000台のルーターおよびネットワークデバイスを感染させるまでに成長した。初期検知時の1万感染から増加している。侵害されたデバイスの大部分はAsusルーターで、主に米国に位置し、台湾、香港、ロシアに小規模なクラスターがある。LumenのBlack Lotus Labs研究者Chris Formosaによると、マルウェアはゼロデイエクスプロイトに頼らず、これらのデバイスにある未パッチ脆弱性を悪用する。 KadNapを際立たせるのは、BitTorrentなどの技術で普及した分散ハッシュテーブル(DHT)システムKademliaに基づくP2Pネットワーク構造の使用だ。この設計は制御を分散化し、コマンド&コントロールサーバーのIPアドレスを隠蔽、ボットネットを従来のテイクダウン手法に高度に耐性を持つものにする。「KadNapボットネットは匿名プロキシをサポートする他のものと異なり、分散制御のためのP2Pネットワークを使用している点で際立っている」とFormosaと同僚研究者Steve Ruddは書いている。「彼らの意図は明確:検知を回避し、防衛者が保護しにくくする。」 運用上、KadNapはノードがパスフレーズを使って他のノードにクエリを発行し制御インフラを特定、最終的にコマンド&コントロールアドレスを含むファイルを受け取ることで機能する。感染デバイスは顧客トラフィックを住宅用インターネット接続経由でルーティングし、制限サイトへの匿名アクセスを可能にする有料サービスDoppelgangerのプロキシとして使われる。 Black Lotus Labsはボットネット制御インフラへのトラフィックをブロックする方法を開発し、特定のIPアドレスやファイルハッシュなどの侵害指標を公開フィードで共有している。感染を疑うユーザーはデバイスログをこれらの指標と照合可能。消毒には工場出荷時リセットが必要で、再起動だけでは不十分—マルウェアはシェルスクリプト経由で持続する—ファームウェア更新、パスワード強化、不必要なリモートアクセス無効化も行うこと。